Nói một chuyện: Năm ngoái có một bạn bè, tài khoản sàn giao dịch bị hack nhưng vì đã bật xác thực Google, Hacker không vào được. Số tiền tiết kiệm đủ để anh ấy mua một chiếc xe.

Đây chính là giá trị của xác thực hai yếu tố - không phải để bạn học mật mã, mà là để bạn mất ít tiền hơn.

Nguyên lý nói ngắn gọn trong ba câu: Khi bạn quét mã, bạn lưu một khóa bí mật, sàn giao dịch cũng lưu một bản, cả hai bên mỗi 30 giây tính ra cùng một số 6 chữ số bằng cùng một công thức. Không cần kết nối mạng vẫn có thể tính được, vì vậy hoạt động ngoại tuyến là an toàn nhất. Hacker không có khóa bí mật của bạn, dù có tính đến chết cũng không thể tính ra mã xác nhận.

Đề xuất thực hành: Tìm một chiếc điện thoại cũ, tháo thẻ SIM, ngắt kết nối mạng, tắt WiFi, chuyên dùng để cài đặt Google Authenticator. Điều này gọi là "cách ly không khí", bảo vệ cấp quân đội, chi phí chỉ là một chiếc máy cũ không sử dụng. Có thể kiểm tra, có thể sao chép, có thể sử dụng ngay lập tức.

Đừng sử dụng xác minh qua tin nhắn nữa, tấn công SS7, sao chép SIM, quá nhiều lỗ hổng. Email cũng vậy, bị tấn công cơ sở dữ liệu và lừa đảo khó phòng ngừa.

Tiếp tục nhìn xa hơn, Passkey sẽ dần thay thế TOTP. Nó sử dụng mã hóa bất đối xứng, khóa riêng không bao giờ rời khỏi thiết bị của bạn, máy chủ chỉ lưu trữ khóa công khai, bị lộ dữ liệu cũng không sao. Nhưng việc phổ biến còn cần vài năm nữa, bây giờ chỉ cần sử dụng trình xác thực ngoại tuyến là đủ.

Một chiếc điện thoại cũ, tiết kiệm được số tiền mua một chiếc xe, ai cũng tính ra được.